OpenSSL-Versionen von 3.x bis 3.0.6 (vor 3.0.7) weisen eine schwerwiegende Sicherheitslücke auf, die zu Abstürzen oder unerwartetem Verhalten führen kann.

OpenSSL hat eine Sicherheitswarnung unter https://www.openssl.org/news/secadv/20221101.txt veröffentlicht.

Supermicro Firmware- und Softwareprodukte sind weder von CVE-2022-3786 noch von CVE-2022-3602 betroffen, da Supermicro Die Produkte verwenden OpenSSL Versionen 1.0.x - 1.1.1.

Weitere Informationen:

Ein Angreifer kann eine manipulierte E-Mail-Adresse erstellen, um einen beliebigen Pufferüberlauf von Bytes mit dem Punktzeichen (dezimal 46) im Stack zu verursachen. Dieser Pufferüberlauf kann zu einem Systemabsturz und damit zu einer Dienstverweigerung führen.

Bei der Überprüfung von X.509-Zertifikaten, insbesondere bei der Namensprüfung, kann ein Pufferüberlauf auftreten. Ein Angreifer kann eine manipulierte E-Mail-Adresse erstellen, um vier vom Angreifer kontrollierte Bytes im Stack zu überlaufen. Dieser Pufferüberlauf kann zu einem Systemabsturz (und damit zu einem Denial-of-Service-Angriff) oder potenziell zur Ausführung von Schadcode aus der Ferne führen.